A macOS Sonoma 14.8 biztonsági változásjegyzéke
Ez a dokumentum a macOS Sonoma 14.8 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Sonoma 14.8
Kiadási dátum: 2025. szeptember 15., hétfő
AMD
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2025-43312: ABC Research s.r.o.
AppKit
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: Megakadályoztuk, hogy az Intel chipes Maceken elinduljanak az alá nem írt szolgáltatások, és ezzel megoldottuk a problémát.
CVE-2025-43321: Mickey Jin (@patch1t)
Apple Online Store Kit
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2025-31268: Csaba Fitzl (@theevilbit) és Nolan Astrein (Kandji)
AppSandbox
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)
CoreAudio
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb bemenet-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2025-43349: @zlluny a Trend Zero Day Initiative kezdeményezésének közreműködőjeként
CoreAudio
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Előfordult, hogy egy rosszindulatú célból létrehozott hangfájl feldolgozásakor memóriasérülés történt.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-43277: Google Threat Analysis Group
CoreMedia
A következőhöz érhető el: macOS Sonoma.
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.
Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.
CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Minghao Lin (@Y1nKoc), 风 (binaryfmyy), BochengXiang(@Crispr) és YingQi Shi (@Mas0nShi), Dora Orak
CoreServices
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2025-43305: egy anonim kutató, Mickey Jin (@patch1t)
GPU Drivers
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2025-43326: Wang Yu (Cyberserval)
IOHIDFamily
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2025-43302: Keisuke Hosoda
IOKit
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2025-31255: Csaba Fitzl (@theevilbit, Kandji)
Kernel
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Egy helyi interfészhez kötött UDP-szerversocketnél előfordulhat, hogy az összes interfészhez kapcsolódik
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2025-43359: Viktor Oreshkin
LaunchServices
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2025-43231: Mickey Jin (@patch1t), Kirin@Pwnrin és LFY@secsys (Fudan University), egy anonim kutató
libc
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2025-43299: Nathaniel Oh (@calysteon)
CVE-2025-43295: Nathaniel Oh (@calysteon)
Libinfo
A következőhöz érhető el: macOS Sonoma.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2025-43353: Nathaniel Oh (@calysteon)
MediaLibrary
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2025-43319: Hikerell (Loadshine Lab)
MigrationKit
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2025-43315: Rodolphe Brunetti (@eisw0lf, Lupus Nova)
MobileStorageMounter
A következőhöz érhető el: macOS Sonoma
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.
CVE-2025-43355: Dawuge (Shuffle Team)
Notification Center
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes appok hozzá tudtak férni az Értesítési központban megjelenő értesítések kapcsán a kontaktok adataihoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2025-43301: LFY@secsys (Fudan University)
PackageKit
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.
CVE-2025-43298: anonim kutató
Perl
A következőhöz érhető el: macOS Sonoma
Érintett terület: A Perl több biztonsági rése.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2025-40909
Printing
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2025-31269: Zhongcheng Li (IES Red Team, ByteDance)
Ruby
A következőhöz érhető el: macOS Sonoma
Érintett terület: A létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-27280
Screenshots
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes appok képernyőképet tudtak készíteni, amikor az app belépett a teljes képernyős módból, illetve amikor kilépett belőle.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy adatvédelmi hibát.
CVE-2025-31259: anonim kutató
Security Initialization
A következőhöz érhető el: macOS Sonoma
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból.
Leírás: További ellenőrzésekkel elhárítottuk a fájlkarantén megkerülését.
CVE-2025-43332: anonim kutató
SharedFileList
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.
CVE-2025-43293: anonim kutató
SharedFileList
A következőhöz érhető el: macOS Sonoma
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.
Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.
CVE-2025-43291: Ye Zhang (Baidu Security)
SharedFileList
A következőhöz érhető el: macOS Sonoma
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2025-43286: pattern-f (@pattern_F_), @zlluny
Shortcuts
A következőhöz érhető el: macOS Sonoma
Érintett terület: A parancsikonok bizonyos esetekben meg tudták kerülni a sandbox korlátozásait.
Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.
CVE-2025-43358: 정답이 아닌 해답
Siri
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: A bizalmas adatok áthelyezésével megoldottuk az adatvédelmi problémát.
CVE-2025-43367: Kirin (@Pwnrin), Cristian Dinca („Tudor Vianu” National High School of Computer Science, Románia)
Spell Check
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.
CVE-2025-43190: Noah Gregory (wts.dev)
Spotlight
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2025-24197: Rodolphe Brunetti (@eisw0lf, Lupus Nova)
Storage
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2025-43341: anonim kutató
StorageKit
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.
CVE-2025-43314: Mickey Jin (@patch1t)
StorageKit
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2025-43304: Mickey Jin (@patch1t)
Touch Bar
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.
CVE-2025-43311: egy anonim kutató, Justin Elliot Fu
Touch Bar Controls
A következőhöz érhető el: macOS Sonoma
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.
CVE-2025-43308: anonim kutató
WindowServer
A következőhöz érhető el: macOS Sonoma
Hatás: Egy alkalmazás képes lehetett becsapni a felhasználót, hogy érzékeny adatokat másoljon a vágólapra.
Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.
CVE-2025-43310: anonim kutató
További köszönetnyilvánítás
Airport
Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.
libpthread
Köszönjük Nathaniel Oh (@calysteon) segítségét.
libxml2
Köszönjük Nathaniel Oh (@calysteon), Sergei Glazunov (Google Project Zero) segítségét.
SharedFileList
Köszönjük Ye Zhang (Baidu Security) segítségét.
Wi-Fi
Köszönjük Csaba Fitzl (@theevilbit, Kandji), Noah Gregory (wts.dev), Wojciech Regula (SecuRing, wojciechregula.blog), egy anonim kutató segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.